Giáo trình Mã độc: Phần 1

Nội dung của giáo trình Mã độc phần 1 gồm các chương: chương 1 - tổng quan về mã độc: các dạng mã độc, nguy cơ, các phương pháp phát hiện và phòng chống mã độc; chương 2 - cơ chế hoạt động của mã độc: định dạng phổ biến của mã độc, cơ chế hoạt động của mã độc; chương 3 - cơ bản về phân tích mã độc: kiến thức cơ bản về phân tích mã độc, quy trình phân tích. 

Nội dung trích xuất từ tài liệu:
Giáo trình Mã độc: Phần 1 GIÁO TRÌNH MÃ ĐỘC 1 MỤC LỤC Danh mục từ viết tắt .......................................................................................... 5 Danh mục hình vẽ.............................................................................................. 6 Lời nói đầu....................................................................................................... 11 Chương 1 ......................................................................................................... 13 TỔNG QUAN VỀ MÃ ĐỘC .......................................................................... 13 1.1 Lịch sử phát triển của mã độc hại ......................................................... 13 1.1.1. Khái niệm mã độc ......................................................................... 13 1.1.2 Quy ước đặt tên .............................................................................. 13 1.1.3 Lịch sử phát triển ............................................................................ 14 1.1.4 Xu hướng phát triển ...................................................................... 16 1.2 Phân loại mã độc ................................................................................... 19 1.2.1.Theo hình thức lây nhiễm............................................................... 20 1.2.2 Phân loại của NIST ....................................................................... 27 1.3 Các phương pháp phát hiện mã độc ...................................................... 33 1.4 Các phương pháp phòng chống mã độc ................................................ 37 Chương 2 ......................................................................................................... 39 CƠ CHẾ HOẠT ĐỘNG CỦA MÃ ĐỘC ....................................................... 39 2.1 Các định dạng dữ liệu nhiễm mã độc .................................................... 39 2.1.1 Định dạng tập tin văn bản .............................................................. 39 2.1.2 Định dạng trong tệp tin chương trình ............................................. 42 2.1.3 Tập tin Office ................................................................................. 47 2.1.4 Tập tin khởi động ........................................................................... 48 2.2 Cấu trúc chi tiết định dạng PeFile ......................................................... 51 2.2.2 Cấu trúc PE file .............................................................................. 59 2.3 Cơ chế hoạt động của mã độc ............................................................... 68 2.3.1 Quá trình khởi động máy tính ........................................................ 70 2.3.2 Một số kỹ thuật cơ bản của B-virus ............................................... 71 2.3.3 Một số kỹ thuật cơ bản của F-virus ................................................ 75 2.4 Các hình thức tấn công của mã độc....................................................... 79 2 2.4.1. Phát tán qua email sử dụng file đính kèm ..................................... 79 2.4.2. Phát tán qua email sử dụng Mã HTML độc hại ........................... 81 2.4.3. Phát tán qua USB .......................................................................... 84 2.4.4 Phát tán dựa trên link độc hại. ........................................................ 84 2.5 Câu hỏi ôn tập........................................................................................ 85 Chương 3: ........................................................................................................ 86 CƠ BẢN VỀ PHÂN TÍCH MÃ ĐỘC ............................................................ 86 3.1 Các kiến thức cơ bản trong phân tích mã độc ....................................... 87 3.1.1 Ngôn ngữ Assembly 32bit.............................................................. 89 3.1.3 Môi trường và các công cụ hỗ trợ phân tích mã độc ...................... 98 3.3 Quy trình phân tích và xử lý mẫu mã độc hại ..................................... 102 3.3.1 Nhận diện hệ thống bị nhiễm mã độc hại và khoanh vùng xử lý 102 3.2.2 Thu thập mẫu mã độc hại ............................................................. 104 3.2.2 Gửi mẫu đến các hãng Anti-virus ................................................ 111 3.2.3 Phân tích mẫu sử dụng một số phương pháp ............................... 118 3.2.4 Viết báo cáo tổng kết hành vi hoạt động mã độc ......................... 122 3.2.5 Xử lý mẫu mã độc ........................................................................ 124 3.3 Câu hỏi và bài tập ................................................................................ 124 Chương 4 ....................................................................................................... 125 CÁC KỸ THUẬT PHÂN TÍCH TĨNH ........................................................ 125 4.1 Xây dựng môi trường phân tích tĩnh ................................................... 125 4.1.1 Xây dựng môi trường ảo. ............................................................. 125 4.1.1 Công cụ Peid ................................................................................ 128 4.1.2 Dependency Walker ..................................................................... 128 4.1.3 Công cụ PE .................................................................................. 129 4.1.4 Công cụ HexEditor ...................................................................... 130 4.1.5 IDA pro....................................................................................... ...